情報セキュリティは情報システムコストを削ってから？：セキュリティ、そろそろ本音で語らないか（6）（2/3 ページ）

» 2009年04月23日 10時00分公開

最初にすべきことは「きっちりとした仕様策定」

　運用コストを下げるためには、適切な利潤を開発時点でシステムインテグレータが得る必要があり、そのためには仕様そのものをユーザーが的確にまとめ上げるべきです。さらには開発プロジェクトの管理もしっかりと行えないと開発コストは削減することはできません。単純に人月コストを削減しても品質が悪くなり、運用コストやセキュリティ事件を引き起こすだけです。

　開発や構築のコストを削減するにはどうすればいいでしょうか。これは何冊本を書いても説明しきれないくらいに難しいことです。情報セキュリティは歴史が浅いので取り組みも比較的容易ですが、システム開発やシステム構築はその歴史が長く、既存システムとのしがらみや企業の文化そのものからも大きな影響を受けています。

　そのためには、まずは「仕様をちゃんと書く」ということから始めなければいけません。システム開発や構築において仕様書を書き込む時間は、そのあとの来るべき“死の行進”の時間を考えると微々たるものです。

　本来、システム構築とは新しいサービスの提供ばかりではなく、既存の業務の自動化や効率化なども大きなテーマです。一般の製造業やサービス業においては、人間で行っていた作業をコンピュータに置き換えるという伝統的なシステム構築作業が行われてきています。

　システム作りは、「人間がやることをコンピュータに置き換えれば何万倍も早く正確にできる」から始まっているのです。ところが、人間の行っている作業はそのままコンピュータに移行できるとは限りません。むしろ多くの場合、人間はその場その場で、非常にあいまいな判断を繰り返しながら業務を行っています。それをそのままヒアリングしてシステム化すればIF文、例外処理だらけになってしまいます。

　事実、ERPパッケージにおいても日本ではパッケージ部分より開発部分が大半を占めています。このような例外処理は仕様書を書く時点で洗い出せず、開発しながら、あるいは、開発後に追加変更を加えることになります。

　本来は、まず業務そのものを見直し、システム化に最適な業務のあり方を設計してからシステム化設計を行うべきです。しかし往々にして大企業では、予算申請の時期が決まっており、短い時間で仕様書作成を行ってしまうのです。ここに大きな問題の1つがあると思います。

あいまいな仕様作成のツケ

　システムというのはデジタルなものですから、あいまいさは許されません。また、開発途中での仕様変更は開発者にとっては多大な労力を要します。当然これらはコストとなってユーザーに跳ね返ってきてしまいます。そのコストが運用費用なのです。

　システムは一度もつれてしまうと、もつれが重なりほどけなくなって、動きが取れなくなります。システムのもつれは情報セキュリティの低下を招きます。そのための情報セキュリティ対策システムも複雑になり、そのコスト負担もユーザーにかかってきますし、複雑なシステムでは見逃しや脆弱なポイントも残されたままになりがちです。情報セキュリティに関する事件や問題が起こるとその対応にも労力や費用が必要となります。

　もつれたシステムはほどかなければいけません。当然、システムをほどくにはいったん停止する必要があり、そのための準備や移行作業、移行コストもかかりますが、中期的に見れば大きなコスト削減につながるのです。

　昨今の経済状況では、コスト削減に直接的かつ即効性のあるものが求められていますが、いまこそもつれたシステムの再構築や業務の見直し、最適化への投資を行い、次年度に備えるべきです。また現在支払われている保守運用コストも、その業務量や必要経費を算出して適正な価格かどうか見直ししてはいかがでしょうか。これは即効性があり、大半を占めている運用コストの削減は大きなインパクトがあります。

　日本ではコスト削減というと文房具の削減など、やりやすいところから入ります。これは精神論としての効果はあっても、実際のコスト削減効果は小さいのではないでしょうか。いまはむしろ「大きくてやりにくいところ」から、トップダウンでコスト削減に取り組むべきチャンスなのです。

　情報システムそのものがこのようなコスト構造になっていることも、これまで情報セキュリティの必要性が叫ばれてきても、対策が進みにくかった大きな要因と思われます。情報システム部の予算はその多くが保守運用コストの請求書で使われており、残り少ない予算はユーザーからの要望を満たすための新規システム投資に向けられています。さらにその残りでセキュリティ対策をしようとしても、予算が割かれないのは当然のことでしょう。

　一方で、情報セキュリティのコストは情報システムの一部ではないことは先に述べたとおりです。コストというと支払っている請求書の金額を思い浮かべがちですが、多くの企業においては人件費が会社の経費の大部分を占めています。その人件費の一部として情報セキュリティ対策は薄く広く使われています。

　人件費は企業によってまちまちですが、1時間あたりの時給に換算すれば1時間でも全員となれば相当なコストになります。そして情報セキュリティには教育や自己点検などで相応の時間が使われています。直接教育している時間だけでなく、その連絡のためのメールの送信、受信、未受講者チェック、フォローまで積算すると相当な時間数です。その時間数に時給をかければ費やされているコストが計算できます。

　これを削るというのは工夫が必要です。これに加え、情報セキュリティ対策により不便になっていた、知的生産性が犠牲になっていた部分を探し出し、そこを「便利」にすべきです。知的生産性が上がり、就業時間の短縮につながります。便利になることでモチベーションも向上するでしょう。

　この知的生産性を向上させるには、会議室でのPCの利用や無線LAN、ノートPCの外出先での持ち歩き、自宅での業務ファイルの取り扱い、などこれまで単に「禁止」としていた不便さを便利に変えることによって実現できます。